Kiedy ransomware uderza w komputer lub sieć, blokuje pliki, które stają się niedostępne.
Komputer poinformuje użytkownika, że aby ponownie użyć komputera, musi zapłacić okup za klucz cybernetyczny. Zwykle ta opłata jest wymagana w bitcoinach, ponieważ nie można ich śledzić.
Cyberataki często zaczynają się, gdy ktoś zostaje przyciągnięty do kliknięcia łącza w wiadomości e-mail, które pobiera złośliwe oprogramowanie na komputer . Hakerzy są bardzo dobrze przygotowani, aby ofiary klikały na te linki, aw wielu przypadkach ofiary nawet nie zdają sobie sprawy, że robią coś złego. Ten link e-mail może mieć postać banku, firmy, w której prowadzisz regularną działalność, lub nawet kogoś, kogo znasz.
Te linki wyglądają niewinnie, ale są bardzo szkodliwe, podobnie jak te ostatnie poważne cyberataki były również szkodliwe. W rzeczywistości, w maju ubiegłego roku, ten atak ransomware był wystarczająco dużym problemem, że Microsoft nawet utworzył łatę dla swoich użytkowników w systemie Windows XP, coś, czego nie zrobili od kilku lat, ponieważ ten system operacyjny jest przestarzały.
W jaki sposób pojedynczy szkodliwy program może wywoływać taki ból głowy?
Zrozumienie tego konkretnego złośliwego oprogramowania
Aby uzyskać odpowiedź na to pytanie, ważne jest zrozumienie złośliwego oprogramowania WannaCry. Ten konkretny szkodliwy program może wyszukiwać, a następnie szyfrować w sumie 176 różnych typów plików.
Następnie prosi o okup za 300 dolarów bitcoin. Jeśli nie zapłacisz 300 $, wiadomość o okupie mówi, że płatność zostanie podwojona co trzy dni. Jeśli po upływie siedmiu dni płatność za okup nie zostanie dokonana, plik zostanie usunięty.
Czy powinieneś zapłacić okup?
Jednym z najczęstszych pytań, na jakie napotykają ludzie, gdy stają się ofiarami ataków złośliwego oprogramowania, jest to, czy powinni zapłacić okup, czy też istnieje sposób na odszyfrowanie plików. Na szczęście odszyfrowanie tych plików może być możliwe (zobacz ten link tutaj: "deinstalator wannacry"). A badacze wciąż pracują nad nowymi odszyfrowcami. Najlepiej zrobić kopię zapasową wszystkich plików wcześniej, co oznacza, że można je przywrócić. Najlepiej NIE płacić okupu, jeśli to możliwe.
W niektórych przypadkach można odzyskać pliki, nawet jeśli nie masz kopii zapasowej, ale pliki zapisane na dysku wymiennym, na pulpicie lub na moich dokumentach nie podlegają zwrotowi. Te, które można odzyskać, można odzyskać za pomocą narzędzia cofania.
W jaki sposób Ransomware dotyczy USA?
W maju ten konkretny złośliwy program dotknął Wielką Brytanię i trafił również do Stanów Zjednoczonych. Jednak brytyjski badacz, który nazywa się "MalwareTech", mógł tymczasowo zatrzymać go na wakacjach. Jest to jednak problematyczne, ponieważ pokazuje, że światowy przemysł bezpieczeństwa informacji jest rozproszony, a poleganie na jednej osobie jest niewystarczające.
MalwareTech zauważył, że nazwa domeny, do której skierowano szkodliwe oprogramowanie, nie istnieje. Gdyby był aktywny, program szkodliwy byłby przekonany, że jego kod został zdemontowany. Aby temu zapobiec, WannaCrypt zaprojektował złośliwe oprogramowanie, aby się wyłączył. Więc co to mówi o naszych poziomach globalnej gotowości na cyber?
Po pierwsze, pokazuje to, że nasza branża bezpieczeństwa informacji traktuje cyberataki jako więcej możliwości biznesowych niż jako sposób wspólnej pracy w celu wyeliminowania wszelkich zagrożeń. Chociaż istnieją oczywiście zawodowcy, którzy tego nie robią, podobnie jak w przypadku MalwareTech, wydarzenia związane z incydentem złośliwym w Wielkiej Brytanii pokazują, że jako branża wymagana jest większa zbiorowość. Nie możemy liczyć na leniwe kodowanie w kolejnym cyberataku.
Po drugie, musimy sprawdzić, czy WannaCrypt był prostym testem gotowości.
Możliwe, że łatwość zatrzymania ataku wcale nie była aktem lenistwa, ale aktem, który sprawdzał, ile czasu zajmie zamknięcie programu.
Możliwe jest również, że ci, którzy stworzyli to złośliwe oprogramowanie, zrobili to w celu zebrania informacji o tym, które systemy mogą zostać dotknięte przez to złośliwe oprogramowanie, takie jak systemy Windows XP. Pamiętaj, że ten system operacyjny nie jest już obsługiwany przez firmę Microsoft.
Istnieje również możliwość, że WannaCrypt zamierza pokazać, że rządy wyciskają luki w oprogramowaniu, z którego korzystają, ale nie udostępniają tych informacji programistom. Może to pokazać, co może się stać, jeśli luki te zostaną wykorzystane przez niewłaściwych ludzi.
WannaCrypt od tego czasu wywołał wiele debat dotyczących cyberataków sponsorowanych przez państwo. Włączenie backdoorów w aplikacjach lub OS, które są wymagane przez rząd, jest wyjątkowo niebezpieczne i zdecydowanie błędne. Jeśli jednak dowiedzieliśmy się czegoś od wyborów w 2016 roku, to właśnie teraz żyjemy w świecie, w którym potrzebujemy zarówno zdolności ofensywnych, jak i defensywnych.
Nie możemy również zaprzeczyć, że powinniśmy oczekiwać więcej od gigantów oprogramowania, takich jak Microsoft. Żyjemy w czasach, gdy królują duże dane, a oprogramowanie jest śledzone. Dzięki słabym punktom oprogramowania może dosłownie zatrzymać świat na własnych nogach.
Kiedy mamy krytyczne systemy, które opierają się na oprogramowaniu, które jest zagrożone, rozsądne jest przekonanie, że twórcy oprogramowania powiadomią osoby, które są zagrożone. Powinny także szybko uzyskać łatkę wydaną. Długie wiadomości e-mail i powiadomienia są niewystarczające, ponieważ wielu klientów nie zdaje sobie sprawy, że ma system, który jest podatny na ataki, ani nie otrzymują wsparcia głównego nurtu.
Minęło ponad trzy lata, odkąd Microsoft przestał wspierać system operacyjny Windows XP, ale organizacje na całym świecie wciąż go używają, co oznacza, że grupy stojące za WannaCrypt zamierzają się doskonalić.
Jeśli nie zaczniemy być skuteczniejsi w naszych metodach walki z tymi zagrożeniami i jeśli będziemy nadal używać oprogramowania, które nie jest bezpieczne, nie powinno dziwić, kiedy te zagrożenia trafią. Zagrożenia te mają duży potencjał wywoływania znacznych szkód, zarówno w formie cyfrowej, jak i fizycznej ... i następnym razem możemy nie mieć tego szczęścia.
Kto jest tym dotknięty?
Każda osoba korzystająca z komputera z systemem Windows jest podatna na cyberatakowanie WannaCry. Firmy są bardziej narażone na ryzyko, ponieważ są połączone z sieciami, a to wygląda lepiej dla cyberprzestępców. Bądź jednak czujny, ponieważ ludzie są również zagrożeni.
Czy celem jest cel WannaCry Attack?
Obecnie nie uważamy, że działanie WannaCry jest częścią jakiegokolwiek ukierunkowanego ataku.
Dlaczego WannaCry powoduje tak wiele problemów?
WannaCry powoduje tak wiele problemów, ponieważ ma możliwość rozprzestrzeniania się w sieciach bez żadnej interakcji użytkownika. Wykorzystuje luki w systemach Windows, więc każdy komputer, który nie został zaktualizowany do najnowszej poprawki zabezpieczeń Windows Update, może zostać zainfekowany.
Jak działa WannaCry Spread?
WannaCry może rozprzestrzeniać się poprzez sieć wykorzystując swoją lukę w zabezpieczeniach, ale nie jest to sposób, w jaki początkowo infekuje sieć. Nie wiadomo, w jaki sposób pierwszy komputer w dowolnej organizacji jest zainfekowany przez WannaCry. Jeden z badaczy zwraca uwagę, że "rozprzestrzenia się on poprzez operację, która wyszukuje podatne na zagrożenia publiczne porty SMB, a następnie wykorzystuje rzekomy exploit EternalBlue ujawniony przez NSA, aby uzyskać dostęp do sieci". złośliwe strony internetowe, ale uważa się, że nie są one związane z oryginalnymi atakami WannaCry. Zamiast tego są naśladowcami.
W jaki sposób okup okupuje WannaCry?
Jak wiecie, atakujący powiązani z WannaCry proszą o zapłacenie okupu za pomocą Bitcoinów. WannaCry wygenerowała unikalny adres bitcoin dla każdego komputera, na który plik ma wpływ. Jednak stwierdzono również, że w kodzie występuje błąd, który powoduje, że nie jest wykonywany tak, jak powinien. To powoduje, że WannaCry domyślnie przyjmuje trzy adresy Bitcoin dla płatności. Jest to jednak problematyczne, ponieważ osoby atakujące nie są w stanie właściwie zidentyfikować ofiar, które zapłaciły, a które nie, co oznacza, że ofiary, nawet jeśli zapłacili, prawdopodobnie nie odzyskają swoich plików.
Atakujący WannaCry zdali sobie z tego sprawę, a następnie wypuścili nową wersję szkodliwego oprogramowania, która naprawiła to, ale nie była tak skuteczna jak oryginalna cyberatak.
Niedawno, 18 maja, komputery, które zostały zainfekowane tym szkodliwym oprogramowaniem, wyświetlały kolejną wiadomość, która informowała ofiary o tym, że ich pliki zostaną odszyfrowane dopiero po zapłaceniu okupu.
Co robić, jeśli jesteś zarażony
Oto kilka kroków, które należy wykonać, jeśli komputer jest zainfekowany:
- Zgłoś sprawę policji. Chociaż prawdopodobnie nie mogą pomóc, zawsze dobrą praktyką jest nagrywanie tego.
- Odłącz komputer od sieci. Pomaga to zapobiec rozprzestrzenianiu się infekcji cybernetycznej w innych sieciach.
- Usuń oprogramowanie ransomware z komputera. Pamiętaj tylko, że usunięcie ransomware nie da ci dostępu do twoich plików, ponieważ są one zaszyfrowane.
- Jeśli masz kopię zapasową danych (powinieneś), nie ma powodu, że będziesz musiał zapłacić okup. Nadal chcesz usunąć oprogramowanie ransomware, nawet jeśli masz kopię zapasową.
- A co, jeśli masz ważne pliki, których absolutnie potrzebujesz, a które nie mają kopii zapasowej? Zacznij oszczędzać swoje bitcoiny. Sprawdź na tej stronie, jak dokonywać płatności przy użyciu tej metody.
- Zapamiętaj. Złych facetów nie da się prześledzić, a będziesz musiał dokonać płatności w sieci Tor, która oferuje anonimowe przeglądanie.
- Wreszcie, mimo że jest to hazard, nie powinieneś być zszokowany, jeśli zapłacisz i faktycznie dostaniesz klucz odszyfrowywania. Większość złodziei cybernetycznych przejdzie przez to i da ci kod, ponieważ chcą być traktowani poważnie. Jeśli powszechnie wiadomo, że nie dostaniesz kodu, jaki jest sens płacenia?
Najlepsze, co możesz zrobić, to przede wszystkim zapobiec cyberatakowi. Oznacza to, że powinieneś szukać wszystkich wskazówek, które mogą sugerować oszustwa typu phishing lub ataki złośliwego oprogramowania. Nie pozwól, aby groźny e-mail popchnął Cię do kliknięcia złego linku. Należy również wykonać kopię zapasową wszystkich danych online i na zewnętrznym dysku twardym. W ten sposób, nawet jeśli padniesz ofiarą ataku złośliwego oprogramowania, nie będziesz musiał płacić okupu.